Les « to do » de la certification TISAX®
La certification TISAX® figure sur la liste des exigences de nombreux fournisseurs et prestataires de services automobiles au plus tard en 2022. Elle signale aux constructeurs automobiles qu’une entreprise attache de l’importance à une sécurité de l’information élevée et que celle-ci répond aux exigences TISAX® reconnues au niveau international. Le certificat sert notamment de base de décision aux constructeurs de l’industrie automobile pour une future collaboration.
Vous êtes actif dans l’industrie automobile et n’êtes pas encore sur la voie du certificat ? Nous vous informons dans cet article de tout ce que vous devez savoir et vous présentons en conclusion un moyen efficace en termes de temps et de coûts pour obtenir une évaluation TISAX® !
Définition de TISAX®
TISAX® est l’abréviation de « Trusted Information Security Assessment Exchange » . Il s’agit d’un mécanisme de test et d’échange du secteur automobile. Depuis 2017, le certificat TISAX® est considéré comme une preuve uniforme de la sécurité de l’information des entreprises dans l’industrie automobile. Il est reconnu par tous les constructeurs automobiles.
Le contenu de TISAX® s’inspire de la norme ISO 27001 (une norme internationale pour la sécurité de l’information) ainsi que de la mise en place d’un ISMS (Information Security Management System) qui y est liée. Le processus de contrôle TISAX® s’effectue sur la base d’un catalogue de questions de l’association de l’industrie automobile (VDA), qui comprend les exigences spécifiques en matière de sécurité de l’information dans le secteur automobile.
TISAX® en bref
TISAX® est une marque déposée de l’association ENX. Pour obtenir le label TISAX®, il faut s’inscrire sur le portail de l’association ENX et, une fois l’inscription validée, se soumettre à l’assessment, c’est-à-dire à l’examen. Vous pouvez également sélectionner les prestataires de services d’audit TISAX® appropriés sur le site de l’ENX. Les résultats de l’examen sont ensuite téléchargés sur le site de l’ENX. Le portail sert donc de plate-forme et offre la possibilité à tous les participants TISAX® de consulter les résultats au sein du secteur et de les comparer entre eux.
Le catalogue de questions VDA-ISA et TISAX®
Le classement et l’évaluation des résultats de contrôle s’effectuent à l’aide du catalogue de questions VDA-ISA. VDA est l’abréviation de « Verband der Automobilindustrie » (association de l’industrie automobile) et ISA pour « Information Security Assessment » (évaluation de la sécurité de l’information). Le catalogue de questions a été défini par la VDA et est continuellement mis à jour. Actuellement (février 2022), la version 5.04 du catalogue de questions TISAX® est obligatoire pour tous les nouveaux processus d’évaluation (assessments).
Si vous souhaitez avoir un aperçu des exigences TISAX® concrètes, vous pouvez télécharger le catalogue de questions VDA-ISA sur le site web du VDA. Le catalogue de questions VDA-ISA le plus récent y est mis à votre disposition en téléchargement. Dans le catalogue au format Excel, vous pouvez consulter les différents modules pertinents pour l’évaluation TISAX®.
Le catalogue de tests dans sa version actuelle 5.04 se compose de trois modules au total : le module principal « Sécurité de l’information » ainsi que les autres modules « Protection des données » et « Protection des prototypes ». Le module principal de la sécurité de l’information est contrôlé dans chaque évaluation TISAX®. On peut en outre trouver dans le catalogue de questions différentes références à la norme ISO 27001, dont le catalogue s’inspire.
Les deux autres modules ne sont, eux, pas obligatoirement testés. Si votre client ou votre OEM vous demande de vous certifier TISAX®, il vous indiquera dans le même temps si vous devez remplir les modules Protection des données et/ou Protection des prototypes. Vous pouvez bien sûr aussi décider de tester les modules supplémentaires de votre propre chef et en fonction de vos propres exigences en matière de sécurité de l’information.
En résumé : Dans l’industrie automobile, la certification TISAX® est considérée depuis 2017 comme une preuve de la sécurité de l’information des entreprises. Elle est reconnue par tous les partenaires du secteur et est même exigée par les constructeurs automobiles (OEM) ainsi que par les grands fournisseurs comme condition pour une collaboration.
Vous ne souhaitez pas relever seul le « défi TISAX® » ? Nous vous expliquerons volontiers, lors d’un entretien sans engagement, comment nous pouvons vous soutenir sur la voie de votre certification.
Qui a besoin de TISAX® et quels OEM exige TISAX® ?
La certification TISAX® n’est pas encore obligatoire. Cependant, de nombreux OEM (Original Equipment Manufacturer) / fabricants d’équipements d’origine (constructeurs automobiles) posent la certification comme condition à une collaboration. Il s’agit par exemple d’Audi, BMW, Mercedes-Benz, Porsche, VW ou de leurs filiales. On constate cependant que les fournisseurs de niveau 1 et 2 posent eux aussi la certification TISAX® comme condition à leurs fournisseurs.
Quelles entreprises sont déjà certifiées TISAX® ?
En 2021, environ 2500 entreprises étaient déjà certifiées dans le monde entier, et la tendance est à la hausse. De plus en plus de fournisseurs se préparent à leur certification et s’occupent même de manière proactive d’obtenir un label TISAX®.
Ai-je obligatoirement besoin d'une certification TISAX® ?
La nécessité de la certification TISAX® dépend de vos partenaires contractuels actuels ou potentiels. Si vous n’avez pas encore été sollicité par un OEM, vous pouvez également attendre que l’on vous parle activement de TISAX®. En raison de l’importance croissante, nos experts en sécurité de l’information, Alex Fürst et Michael Kirsch, recommandent toutefois de s’engager volontairement ou proactivement sur la voie du label TISAX®. Ainsi, vous serez déjà préparé lorsque ce thème figurera tôt ou tard sur votre liste d’exigences contractuelles. En effet, le processus de certification prend souvent plusieurs mois et entraîne des coûts élevés. Il est donc préférable de s’y prendre à l’avance.
Si vous décidez maintenant d’obtenir une certification TISAX®, vous devez également déterminer le niveau d’évaluation que vous souhaitez atteindre. Dans certains cas, votre partenaire contractuel vous indiquera également si vous avez besoin du niveau d’évaluation 2 ou 3.
FAQ : Quels sont les niveaux d'évaluation et les labels TISAX® ?
On distingue les niveaux d’évaluation 1, 2 et 3. Plus le niveau est élevé, plus les exigences en matière de protection de votre sécurité de l’information augmentent.
Comparaison des niveaux d'évaluation
Le niveau 1 exige un niveau normal de protection. Au niveau 2, votre entreprise est évaluée sur la sécurité de l’information selon un besoin de protection élevé et au niveau 3 selon un besoin de protection très élevé.
Normal : le dommage potentiel pour l’organisation est limité et gérable.
Élevé : le dommage potentiel pour l’organisation peut être considérable.
Très élevé : le dommage potentiel peut atteindre une ampleur catastrophique menaçant l’existence de l’organisation.
La méthode de contrôle et les efforts qui y sont liés diffèrent également selon le niveau d’évaluation.
L’évaluation de niveau 1 s’effectue à l’aide d’une auto-évaluation qui n’est pas vérifiée par un prestataire de services. Il n’est donc généralement utilisé qu’à des fins internes. Ces résultats d’évaluation n’ont qu’une faible valeur informative et ne constituent pas un label TISAX® valable. C’est pourquoi la plupart des fabricants exigent au moins le niveau 2 d’évaluation.
Dans ce cas, le contrôle de l’auto-évaluation est effectué par un prestataire de services de contrôle reconnu. Ces examens sont souvent réalisés par téléphone ou vidéo-conférence. Un examen sur place n’a lieu que si vous faites examiner le module « Protection des prototypes » ou si vous souhaitez expressément un examen sur place.
Dans ce niveau d’évaluation, un prestataire de services d’inspection effectue un contrôle complet sur place de votre auto-évaluation. Il dure en moyenne 2 à 3 jours.
Qu'est-ce que le label TISAX® et qui peut le consulter ?
Après avoir passé l’évaluation avec succès, vous recevez un label qui résume les résultats de votre examen. Ce label, ainsi que les informations relatives à votre évaluation, peuvent être consultés sur le portail ENX par les OEM agréés. En retour, vous pouvez bien sûr aussi consulter les labels TISAX® et les résultats des autres participants.
Une certification ISO 27001 est-elle nécessaire pour TISAX® ?
Un ISMS (système de gestion de la sécurité de l’information) déjà établi et certifié selon la norme ISO 27001 n’est pas une condition préalable à l’évaluation TISAX®. Pour l’évaluation, il suffit de prouver que vous travaillez avec un système de gestion de la sécurité de l’information et que les processus et procédures correspondants sont mis en œuvre dans l’entreprise. Une certification ISO 27001 déjà existante vous fournira toutefois une bonne base pour la certification TISAX®.
Avantages de la certification TISAX®
Les avantages pour une entreprise certifiée TISAX® sont nombreux :
- Renforcement de l'image : Vous signalez que vous accordez de l'importance à votre sécurité de l'information et que vous investissez dans celle-ci. Cela vous donne une image positive auprès de vos partenaires et augmente les chances d'une collaboration fructueuse.
- La prise de conscience crée la sécurité : Le noyau et la force motrice des entreprises restent leurs collaborateurs. Si vos employés agissent en connaissance de cause et sont conscients de la sensibilité de l'utilisation des informations, cela contribue de manière décisive à la sécurité et à la pérennité de votre succès.
- Norme internationale : Étant donné que le certificat est établi comme preuve uniforme grâce à son rattachement à la norme ISO 27001, vous pouvez être sûr que tous les acteurs du secteur acceptent le label. Et vous pouvez également choisir vos partenaires sur la base du certificat et évaluer de manière fiable les normes de sécurité de l'information de ces entreprises.
- Amélioration des processus internes : Que vous passiez l'évaluation parce qu'on vous l'a demandé ou de manière proactive, vous en tirerez profit ! La mise en œuvre des mesures exigées conduit dans tous les cas à l'actualisation et à l'optimisation de vos normes de sécurité de l'information.
Déroulement et durée de la certification TISAX®
La durée des évaluations peut varier considérablement et dépend de différents facteurs, tels que la taille de votre entreprise et le nombre de sites de l’entreprise. Pour une entreprise de taille moyenne, 2 à 3 jours sur place suffisent pour la procédure d’audit elle-même. En revanche, la préparation de l’évaluation peut prendre plus de temps. L’examen ou l’audit ne doit être effectué que si vous répondez aux exigences TISAX® du catalogue de questions VDA-ISA. Dans le cas contraire, vous ne réussirez pas l’audit et ne recevrez pas non plus de certificat. Vous risquez de devoir passer un nouvel audit, ce qui entraînera des coûts supplémentaires.
La préparation et le processus d’audit peuvent durer jusqu’à 8 à 12 mois. Le processus d’examen proprement dit ne doit pas durer plus de 9 mois à compter de l’inscription, faute de quoi vous ne recevrez pas de label. Une préparation suffisante à l’évaluation est donc déterminante !
Après l’inscription, vous suivez les étapes suivantes sur votre chemin vers le certificat TISAX® :
- Enregistrement de votre entreprise pour TISAX® sur le portail de l'association ENX.
- Mise à disposition de votre auto-évaluation sur la base du catalogue de questions VDA-ISA.
- Choisir un prestataire de services d'audit TISAX® approprié
- (Premier) examen de votre auto-évaluation et, le cas échéant, élimination de failles de sécurité éventuelles
- Réalisation de l'évaluation et, le cas échéant, nouvelle optimisation par l'élimination des points faibles avec vérification ultérieure.
- Publication des résultats de l'audit TISAX® sur le portail ENX.
Interlocuteur pour l'évaluation et la certification
Si vous souhaitez faire réaliser un audit TISAX®, vous ne pouvez le faire que par les prestataires de services d’audit agréés par ENX et disposant d’une accréditation spéciale pour TISAX®. Pour pouvoir garantir des normes élevées, les auditeurs doivent disposer d’un savoir-faire suffisant. Un prestataire de services d’audit serait par exemple le TÜV SÜD. Le portail ENX permet de consulter d’autres prestataires de services d’essai auxquels vous pouvez vous adresser.
Quelle est la durée de validité du label TISAX® ?
Une fois que vous avez reçu votre label, il est valable 3 ans. Après cette période, il doit être impérativement renouvelé. Le coût du renouvellement est généralement inférieur à celui de la première certification. Dans ce cas, vous possédez déjà l’expérience ainsi que des processus établis dans le domaine de la sécurité de l’information.
Coûts de la certification TISAX®
Les coûts de TISAX® varient fortement, tout comme la durée du processus. Là encore, de nombreux facteurs entrent en jeu. Toutefois, certaines dépenses fixes pour l’auditeur, l’audit lui-même et, le cas échéant, un audit de suivi sont communes à toutes les entreprises. En moyenne, les coûts peuvent varier entre 50.000 et 200.000 euros jusqu’à l’évaluation finale.
Une préparation efficace à l’évaluation TISAX® permet toutefois d’économiser une grande partie des coûts. Les entreprises non préparées doivent, elles, supporter d’importants coûts d’optimisation pendant le processus d’audit en cours.
Voie optimale en termes de coûts et de temps pour votre évaluation
Vous êtes une petite ou moyenne entreprise et vous souhaitez obtenir la certification TISAX®, mais le coût élevé et le temps nécessaire ne vous sont pas acceptables ? Dans ce cas, nous avons le plaisir de vous présenter notre solution « NORM X ».
Avec NORM X, vous accédez à l’évaluation TISAX® par la voie rapide ! Notre solution est basée sur un logiciel entièrement automatisé et vous permet, grâce à des processus efficaces et à la mise à disposition d’un responsable de la sécurité de l’information (RSSI) expérimenté, d’économiser jusqu’à 70% de temps et de coûts jusqu’à votre évaluation TISAX®.
Examen TISAX® en groupe
Il est également possible de passer un audit de groupe TISAX® afin de permettre aux entreprises ayant de nombreux sites de réaliser des économies. Pour ce faire, il existe toutefois un certain nombre de conditions à remplir pour pouvoir participer à l’examen de groupe.
Résumé
Les équipementiers et les grands fournisseurs de l’industrie automobile posent la certification TISAX® comme condition à une collaboration sur des contrats ultérieurs ou potentiels avec leurs fournisseurs et prestataires de services. Bien que le certificat ne soit PAS encore obligatoire, il est recommandé de se préparer de manière proactive à la certification TISAX®. Ainsi, vous ne vous retrouverez pas involontairement dans l’impasse ou dans un contexte de mise en conformité douloureux. Vous risqueriez alors de mettre en péril vos partenariats commerciaux et, avec cela, l’avenir de votre entreprise. Nous vous aidons à vous préparer à l’évaluation de manière rapide, économique et efficace grâce à notre solution NORM X.
Vous souhaitez en savoir plus sur TISAX® ou profiter de notre solution NORM X ? Nous vous expliquerons volontiers comment nous pouvons vous faire passer l’évaluation TISAX® par la voie rapide !